tde ekm kullanma etkinleştir
Bu konuda saydam veri şifrelemesi (tde) etkinleştirmek açıklar SQL Server 2012bir Genişletilebilir anahtar yönetimi (ekm) modülü ile depolanan bir asimetrik anahtar kullanarak bir veritabanı şifreleme anahtarı korumak için Transact-SQL.
tde tüm veritabanı depolama veritabanı şifreleme anahtarı olarak adlandırılan bir simetrik anahtar kullanarak şifreler. Veritabanı şifreleme anahtarı da ana veritabanının veritabanı ana anahtar tarafından korunan bir sertifika kullanılarak korunabilir. Veritabanı ana anahtarı kullanarak veritabanı şifreleme anahtarının koruma hakkında daha fazla bilgi için bkz: Saydam veri şifrelemesi (tde).
Bu Konuda
Başlamadan Önce
Sınırlamalar ve Kısıtlamalar
Güvenlik
tde ekm kullanma, Transact-sql kullanarak etkinleştirmek için
Başlamadan Önce
Sınırlamalar ve Kısıtlamalar
Bir veritabanı şifreleme anahtarı oluşturmak ve veritabanını şifreleme için (Sistem Yöneticisi gibi) yüksek ayrıcalıklı bir kullanıcı olmalıdır. Kullanıcı-meli muktedir ekm modülü tarafından doğrulanması.
Başlatma sırasında Veritabanı Altyapısıveritabanı açmalısınız. Bunu yapmak için ekm tarafından doğrulanır ve asimetrik anahtar üzerinde temel alan bir giriş eklemek bir kimlik oluşturmanız gerekir. Kullanıcılar bu girişi kullanarak giriş yapamazsınız ama Veritabanı Altyapısıkendisi ile ekm aygıt kimliğini edebilecektir.
ekm modülü içinde depolanan asimetrik anahtar kaybolursa, veritabanı tarafından açılacak mümkün değildir SQL Server. ekm sağlayıcı asimetrik anahtar geri sağlar, size bir geri kadar oluşturmak ve güvenli bir yerde saklayın.
ekm sağlayıcı tarafından gerekli parametreleri ve seçenekleri aşağıdaki kod örneğinde sağlanan sayfasından farklı olabilir. Daha fazla bilgi için bkz: ekm sağlayıcısı.
Güvenlik
İzinler
Bu konu aşağıdaki izinleri kullanır:
Yeniden yapılandırın deyimini çalıştırın ve yapılandırma seçeneği değiştirmek için alter ayarlar sunucu düzeyi izni verilmelidir. AYARLARINI alter izni dolaylı tarafından düzenlenen sysadmin ve serveradmin sunucu rolleri sabit.
HIÇBIR kimlik BILGISI alter izni gerektirir.
alter any LOGIN izni gerektirir.
ASİMETRİK anahtar oluşturma izni gerektirir.
Veritabanını şifrelemek için veritabanı control izni gerektirir.
[Top]
Transact-SQL'i Kullanma
tde ekm kullanma etkinleştir için
Üzerine uygun bir konuma ekm sağlayıcısı tarafından sağlanan dosyaları kopyalamak SQL Serverbilgisayar. Bu örnekte, biz kullanma C:\EKMklasör.
Bilgisayara ekm sağlayıcı tarafından gerekli olarak sertifikaları yükleyin.
[!NOT]
SQL Serverekm sağlayıcı sağlamaz. Her ekm sağlayıcısı yükleme, yapılandırma ve kullanıcıları yetkilendirmek için farklı prosedürler olabilir. Bu adımı tamamlamak için ekm sağlayıcı belgelerine bakın.
İçinde Object Explorer, örneğine bağlanmak Veritabanı Altyapısı.
Standart çubuğunda Yeni sorgu.
Kopyalama ve aşağıdaki örnek sorgu penceresine yapıştırın ve tıkırtı Execute.
-- Enable advanced options. sp_configure 'show advanced options', 1 ; GO RECONFIGURE ; GO -- Enable EKM provider sp_configure 'EKM provider enabled', 1 ; GO RECONFIGURE ; GO -- Create a cryptographic provider, which we have chosen to call "EKM_Prov," based on an EKM provider CREATE CRYPTOGRAPHIC PROVIDER EKM_Prov FROM FILE = 'C:\EKM_Files\KeyProvFile.dll' ; GO -- Create a credential that will be used by system administrators. CREATE CREDENTIAL sa_ekm_tde_cred WITH IDENTITY = 'Identity1', SECRET = 'q*gtev$0u#D1v' FOR CRYPTOGRAPHIC PROVIDER EKM_Prov ; GO -- Add the system administrator credential to a high privileged user such as your own domain login in the format [DOMAIN\login]. ALTER LOGIN UCBERKELEY\shcooper ADD CREDENTIAL sa_ekm_tde_cred ; GO -- create an asymmetric key stored inside the EKM provider USE master ; GO CREATE ASYMMETRIC KEY ekm_login_key FROM PROVIDER [EKM_Prov] WITH ALGORITHM = RSA_512, PROVIDER_KEY_NAME = 'SQL_Server_Key' ; GO -- Create a credential that will be used by the Database Engine. CREATE CREDENTIAL ekm_tde_cred WITH IDENTITY = 'Identity2' , SECRET = 'jeksi84&sLksi01@s' FOR CRYPTOGRAPHIC PROVIDER EKM_Prov ; -- Add a login used by TDE, and add the new credential to the login. CREATE LOGIN EKM_Login FROM ASYMMETRIC KEY ekm_login_key ; GO ALTER LOGIN EKM_Login ADD CREDENTIAL ekm_tde_cred ; GO -- Create the database encryption key that will be used for TDE. USE AdventureWorks2012 ; GO CREATE DATABASE ENCRYPTION KEY WITH ALGORITHM = AES_128 ENCRYPTION BY SERVER ASYMMETRIC KEY ekm_login_key ; GO -- Alter the database to enable transparent data encryption. ALTER DATABASE AdventureWorks2012 SET ENCRYPTION ON ; GO
Daha fazla bilgi için, aşağıdakilere bakın:
[Top]